Zilele acestea am tot fost asaltat de e-mailuri pe contul de Yahoo, care mă avertizau că accesul meu la reţeaua de socializare Facebook a fost restricţionat. Da, încă folosesc e-mail de la Yahoo, fiindcă aşa m-am obişnuit. Înainte nu exista Google. Cel mai tare motor de căutare era Yahoo, iar de acolo aveai mesagerie instantă şi e-mail.
Chiar dacă adresa respectivă de e-mail nu există postată pe nicăieri pe Internet, ea a ajuns prin listele de spam fiindcă în acest sens te ajută prietenii, cunoştinţele, atunci când ţi-o scanează pe diferite site-uri, asta înseamnă că oricât de bine te-ai feri tu, de mesajele nedorite tot nu scapi.
Şi pentru că nu ai şanse să fugi de spam, fiindcă el tot te ajunge din urmă, te-ai aştepta ca măcar să nu-l mai primeşti în inbox, ci acolo, în dosarul destinat lui.
Ei bine, toate aceste mesaje despre “catastrofa” care a lovit Facebook, ajungeau direct în inbox, chiar dacă eu nu le deschideam, ci le raportam ca spam. Asta până când am decis să deschid unul dintre e-mailuri, pentru a vă scrie vouă aici despre el, mai ales că văzusem că are şi ataşament, deci cam bănuiam ce pot găsi pe acolo.
Subiectul e-mailului este: “Greetings your facebook login name is currently restricted!”.
Conţinutul mesajului:
“During the past weeks, our network was under attack so you are asked to install the attached software. This will generate a safe connection to facebook so your computer can be secure.
When asked, please use this key : aici era trecută parola arhivei, cea care conţinea virusul
Facebook is trying to warn all our users fast but we have moderate emailing capabilities. Our site would be very thankful if you could transmit the attached software to your contacts and relatives urgently.
NOTICE that this software is only viewable by using a Microsoft computer.”
Doar după acel “Greetings” de la subiectul e-mailului şi îţi dădeai seama că e vorba de spam. Să nu mai spun că tot mesajul pare opera unei persoane care are un coeficient de inteligenţă extrem de redus. “Facebook” scris cu literă mică, pe la începutul mesajului şi acea notificare, cum că respectivul program poate fi văzut doar de pe un computer Microsoft, nu un calculator care foloseşte sistemul de operare al americanilor şi deja lucrurile o dau în comic.
Un mesaj scris prost, de către proşti, pentru proşti, fiindcă un om normal nu poate fi niciodată păcălit cu aşa ceva.
Glumind, oare ăştia nu au aflat că pe mine nu prea mă interesează respectiva reţea de socializare şi un mesaj despre falimentul acesteia ar fi fost unul mai nimerit?
Mai departe, am descărcat fişierul ataşat şi am extras virusul din arhivă, folosind parola oferită cu atâta generozitate de către falşii salvatori ai contului meu de Facebook. Aceştia folosesc arhive parolate, pentru a nu fi detectat programul malware de către anti-virusul folosit de Yahoo, adică Norton.
L-am scanat repede pe VirusTotal, pentru a vedea rata de detecţie, deoarece nu mai fusese verificat acolo, şi în ideea de a-l trimite către companiile anti-virus.
Ieri îl detectau doar 19 programe anti-virus, din 54 şi acestea nu cu semnăturile, ci erau denumiri generice. Asta înseamnă că virusul a fost criptat destul de bine, pentru a evita detecţia.
Astăzi îl detectează 32 de programe anti-virus, din 54, semn că VirusTotal a devenit o sursă mult mai importantă decât era înainte, pentru companiile din domeniul securităţii IT.
Virusul are în jur de 422 de KB şi atunci când este executat, creează un .exe care are o denumire pusă la întâmplare şi pe care-l setează să pornească odată cu P.C-ul.
Datele furate de acest troian, sunt trimise către 85 de domenii Internet, toate având TLD .net.